公司新聞
據路透社和《華盛頓郵報》報道,SolarWinds旗下的Orion網絡監控軟件更新服務器遭黑客入侵并植入惡意代碼,導致美國財政部、商務部等多個政府機構用戶受到長期入侵和監視。
黑客通過滲透開源項目,向其中植入被黑組件,以獲得相關數據資產,軟件供應鏈攻擊已經成為黑客攻擊的重要突破口。同類事件頻繁曝出:2013年的棱鏡門事件、2015年的XcodeGhost事件、2017年的Xshell后門代碼、2020年的SolarWinds供應鏈攻擊事件等。此外,據《2020軟件供應鏈狀態》報告表明,此類“下一代”供應鏈攻擊比往年暴增 430 %。由此可見,供應鏈攻擊已成為黑客“喜聞樂攻”的重要目標。黑客何以對供應鏈攻擊樂此不疲?
知己知彼,推斷攻擊成功原因
1.非法認證
通過在SolarWinds的產品中植入后門代碼,攻擊者可以跟隨產品更新進入到SolarWinds的大部分客戶網絡環境中。沒有身份認證的訪問請求被成功接收,在訪問鏈路中隨意通行。
2.認證簡單
由于攻擊者獲取的是正規廠商的證書并利用其對自身進行簽名,這使得所有信任該證書的機構都存在被入侵的風險。而大部分系統僅具備單一的認證方式,難以從多維度驗證用戶身份,通過身份驗證的用戶也依舊可信度不高。
3.絕對信任
由于SolarWinds的令牌已經被用戶所信任,攻擊者可以偽造SolarWinds令牌,欺騙并繞過防護,在目標網絡環境中建立高權限賬戶,等待時機,完成攻擊目標。而系統僅在登錄時做身份認證,沒有持續的驗證用戶身份,追查用戶行為合理性,對用戶行為異常監測并及時響應。4.越權訪問
攻擊者很可能已經非法獲取了SolarWinds內網高級權限,創建了高權限賬戶,維持了多個入口點,而高權限賬戶的創建無相應的審批流程,難以及時發現。
零信任方案如何應對新型供應鏈攻擊?
任子行智行零信任安全解決方案,核心基于SDP架構,嚴格控制任何內部或外部的網絡鏈接或信息請求,通過全面完善的身份認證體系,多維度、多因子、持續性驗證訪問用戶身份,對合理用戶的合規訪問進行獨立的隧道建立,實時監測業務系統間API接口調用,實現全方位、多角度訪問控制,收斂攻擊暴露面,降低攻擊成功概率。
任子行零信任方案架構
1.身份生命周期管理,及時發現未知賬號異常創建
方案以身份管理為基石,為企業信息化建設提供唯一的用戶身份數據,以及完整的賬戶生命周期管理。支持多種賬戶數據源,如 AD、LDAP、以及任何提供 SCIM 標準 API 的應用,可快速導入企業既有賬戶體系。支持對賬戶的創建、變更、停用、刪除等進行流程審批,避免未知賬號的留存產生威脅風險。
2.身份持續多維驗證,嚴格控制合法用戶合規訪問
方案以持續多元認證評估,通過生物特征、行為分析、地理位置、使用設備等多種方式驗證用戶身份。通過端口敲門技術,僅允許合法客戶端的流量通過,能夠防止黑客通過高危端口在內網收集信息、利用漏洞、發起攻擊,從而起到核心資產隔離、應用保護的作用。全方位記錄所有用戶訪問中的行為日志和操作日志,結合終端風險監測,智能描繪用戶畫像,識別異常訪問,有效降低安全隱患。
3.數據調用流量監測,統一處理數據流轉防止濫用
通過終端的威脅檢測及安全響應、API接口的精細控制,阻斷資產與資產之間的通道,資產內部只允許合法的業務訪問請求進來,從而防止病毒橫向移動及擴散。作為企業API調用的統一出口和權限認證中心,實現數據轉換和數據調用日志分析,攔截非法調用請求,智能預警,及時發現故障并處理。
4.聯防聯控即時響應,全面升級防守陣線應對威脅
方案集成網絡安全威脅與事件管理平臺,內置大數據存儲和多種深度分析引擎,融合基于ATT&CK攻擊鏈的12步法,有效發現網絡內部的失陷資產、安全事件攻擊和潛伏威脅等,及時預警和響應。聯動響應零信任安全大腦,對風險評估高的訪問主體及時變更授權策略,有效減少風險訪問。
400-700-1218
微信公眾號
公司微博
公安備案號:44030502000376